Hoe onze verkiezingen de afgelopen 26 jaar gehackt konden worden
Sijmen RuwhofFreelance IT Security Consultant / Ethisch Hacker
Zaakgericht werken voor de Overheid
• Gestart met hacking in 1997: 20 jaar geleden
• Sinds 2005 professioneel: 12 jaar geleden
• 650+ beveiligingsonderzoeken uitgevoerd
Als freelance hacker legaal inbreken bijoverheidsorganisaties, banken enhigh-profile bedrijven
Wie is Sijmen Ruwhof?
Bedrijven waar ik zoal voor werk
• Automatisering stemproces:
–1991: Introductie stemcomputers
–2009: Introductie stemoptelsoftware
–2017: Afgelopen verkiezingen
• Lessons learned
• Zaakgericht werken
Agenda
Introductie van stemcomputers
“We willen af van al dat logge papier. Kunnen we dat process niet automatiseren?”
1991
1991-2009
Kiesraad: “Veiligheid is belangrijk en daarom hebben we ook TNO
ingehuurd. Maak je geen zorgen dus.”
1991-2009
• Amsterdam was één van de laatste steden die digitaal ging
• Rop Gonggrijp woonde in Amsterdam
2006
• 2006: Rop in EenVandaag: “Frauderen met een stemcomputer is vreselijk makkelijk. Dit is in feite een brakke oude huiscomputer.”
• 2006: AIVD: “Nu je het ons vraagt, ja hij heeft wel een punt”
Stemcomputer zo lek als een mandje
• 2006: Gemeentes: “We geloven dat ze veilig zijn en willen ze nog steeds blijven gebruiken.”
• 2006: Minister: “De leverancier belooft het te kunnen oplossen, dus het komt goed!”
“Wij vertrouwen stemcomputers niet”
• 2006: Rop start een rechtzaak
• 2007: Rechter: “Rop heeft gelijk”
• 2008: Overheid: “Jammer, nu moeten we weer terug naar pen en papier”
“Wij vertrouwen stemcomputers niet”
2009-nu
2009-nu
2009-nu
Fast forward naar januari 2017 >>>
“We hebben gehoord dat verouderde cryptografie wordt gebruikt in het stemproces.
Wat is hier de impact van Sijmen?”
RTL Nieuws
“Wordt software gebruikt?! Waar dan?
We stemmen toch op papier?
Mijn eerste reactie
RTL Nieuws vertelt:
• Stemmen met potlood en papier
• Handmatig stemmen tellen
• Maar dan..
2009-2017
• Gemeentes vullen stemtotalen in computerprogramma in
• USB-stick met uitslag wordt naar kiesdistrict gereden
2009-2017
1. Lokaal stembureau : paper
2. Centraal stembureau : digitaal
3. 20 kiesdistricten : digitaal
4. Kiesraad : digitaal
2009-2017
“Dit kan niet waar zijn!”
Mijn eerste reactie
YouTube-video
YouTube
• Eén hoofd webserver
• Via intern gemeentenetwerk inloggen op stemoptel webapplicatie
Risico’s:
• Geen beveilgde HTTPS verbinding actief
Client-server architectuur
• Geen beveiligingsbeleid
• Geen beveiligingscontroles
• Bring your own computer en USB-stick
Bring Your Own Device
Maar! “WiFi moet uitgeschakeld zijn”
Met internet verbonden computers
• AutoRun
• BadUSB
• RubberDucky
USB stick aanval
Controlecode wordt geprint
SHA1 hash vergelijken
Mail de verkiezingsuitslagen maar
• Ontwerpfase: Geen IT security expert / hacker geraadpleegd
• Testfase: Geen security testen uitgevoerd
• Gedeeltelijk open source
• Logs niet centraal verzameld
• Geen inbraakpreventiesysteem actief
• Geen geautomatiseerde security en fraude monitoring ingeregeld
• Integriteit OSV is moeilijk te valideren, te omzeilen en optioneel
• …
De lijst gaat door
• Drie uur aan YouTube-video’s en PDF-documentatie later
• Conclusie: “Zeer eenvoudig te hacken”
• RTL valideert het onderzoek en publiceert het op Tv
Samenvattend
• Negeren: Initieel kregen journalisten geen contact.
• Ontkennen: Naar journalisten:“Vertrouw ons, het is veilig”
• Dreigen: Naar journalisten: “We zullen wel zien voor wie dit een probleem gaat worden”
Antwoord Kiesraad
• Student Maarten Engberts bleek in 2011 ook ernstige lekken in het systeem te hebben aangetoond, maar werd genegeerd (!)
• Maarten ging daarom full disclosure
• De software werd nog steeds niet aangepast
Problemen jaren genegeerd
• 2 dagen na publicatie: Plasterk verbiedt OSV
• Gemeentes reageren boos: “Dit kan opgelost worden”
Reacties op publicatie
Reacties op publicatie
• Plasterk: “Wow, wat een reacties! Heb het al druk en deverkiezingen komen eraan. Vooruit, Excel mag wel.”
“OSV is inderdaad erg onveilig”
Fox-IT is ingehuurd
• Gemeentes: “Excel? We willen OSV terug!”
• Leverancier: “We kunnen het oplossen. Geen USB sticks meer enoffline werken. Gebruik SHA256. Dan is het weer veilig.””
• Plasterk: “Oké, doen. Tevens mag OSV dan alleen voor tijdelijkeuitslag gebruikt worden.”
Reacties op publicatie
Veel verbeteringen zijn inmiddels doorgevoerd:
• Op de dag van de verkiezingen voorlopige uitslag met OSV
• Na paar dagen definitieve uitslag na handmatig optellen
• Resultaten van lokale stemlokalen gepubliceerd in lokale kranten en op websites
• Er zijn hier en daar hertellingen uitgevoerd
Huidige status
• Stemproces kon van 1991 tot 2017 gehackt worden: 26 jaar
• We hebben geen idee of er gehackt is. Nooit op gecontroleerd enkon ook niet: geen logs bijgehouden.
• Stemtotalen worden na 3 maanden vernietigd.
Terugkijkend
Ondertussen
• Digitaal
• Centrale opslag van klant- en zaakdossiers
• Webapplicaties
• Internet-facing
• Interactie met burgers
• En dus: Zeer reële kans om een keer gehackt te worden!
Zaakgericht Werken
• Betrek IT security specialisten vroegtijdig
• Zet IT security hoog op managementagenda
• Stel hackrisicoanalyses op
• Voer security-by-design en privacy-by-design in
Veilig software ontwikkelen en beheren
• Creëer security awareness
• Laat IT-personeel security cursussen volgen
• Richt specifieke security monitoring in (IDS, IPS, SOC, SIEM)
• Test regelmatig of gehackt kan worden
• Richt betrouwbare logging in en voer hier audits op uit
Veilig software ontwikkelen en beheren
sijmen.ruwhof.net
twitter.com/sruwhof